TALLER PROXY.

CONFIGURANDO PROXY EN UNA

APPLIANCE PFSENSE.

POR:
Maicol Muoz.

INSTRUCTOR:
Andres Mauricio Ortiz.

Tecnlogo en administracin de redes

informticas.

Gestin de la seguridad de la red.

35442.

Servicio nacional de aprendizaje (SENA) -

Antioquia
Centro de Servicios y Gestin Empresarial.
(CESGE)
2011
INTRODUCCION.
La seguridad es la principal defensa que puede tener una
organizacin si desea conectarse a Internet, dado que expone su
informacin privada y arquitectura de red a los intrusos de
Internet.
El Firewall ofrece esta seguridad, mediante: Polticas de
seguridad, determinando que servicios de la red pueden ser
acezados y quienes pueden utilizar estos recursos,
manteniendo al margen a los usuarios no-autorizados.
En este trabajo les dar a conocer como implementar y
configurar un proxy con pfsense.Pfsense es una distribucin
personalizada de FreeBSD adaptado para su uso como Firewall y
Router. Se caracteriza por ser de cdigo abierto, puede ser
instalado en una gran variedad de ordenadores, y adems cuenta
con una interfaz web sencilla para su configuracin.
MARCO TEORICO.

Proxy.
Un proxy me permite tener control sobre la navegacin en
internet. Su finalidad ms habituales la de servidor proxy, que
sirve para interceptar las conexiones de red que un cliente hace a
un servidor de destino.

Existes mltiples proxys que cumplen la misma finalidad pero lo

hacen de maneras diferentes. Estos son los tipos de proxys:

Servicio Proxy o Proxy Web:

Su funcionamiento se basa en el del Proxy HTTP y HTTPs, pero
la diferencia fundamental es que la peticin se realiza mediante
una Aplicacin Web embebida en un Servidor HTTP al que se
accede mediante una direccin DNS, esto es, una pgina web
que permite estos servicios.

Proxy Cach:
Su mtodo de funcionamiento es similar al de un proxy HTTP o
HTTPs. Su funcin es precargar el contenido web solicitado por el
usuario para acelerar la respuesta Web en futuras peticiones de
la misma informacin de la misma mquina u otras.
Almacenar las pginas y objetos que los usuarios solicitan puede
suponer una violacin de la intimidad para algunas personas.

Proxys transparentes:
Un proxy transparente combina un servidor proxy con NAT
(Network AddressTranslation) de manera que las conexiones son
enrutadas dentro del proxy sin configuracin por parte del cliente,
y habitualmente sin que el propio cliente conozca de su
existencia. Este es el tipo de proxy que utilizan los proveedores
deservicios de internet (ISP).
Reverse Proxy / Proxy inverso:
Un reverse proxy es un servidor proxy instalado en el domicilio de
uno o ms servidores web. Todo el trfico entrante de Internet y
con el destino de uno de esos servidores web pasa a travs del
servidor proxy.

Proxy NAT:
Otro mecanismo para hacer de intermediario en una red es el
NAT.La traduccin de direcciones de red (NAT, Network
AddressTranslation) tambin es conocida como enmascaramiento
de IPs. Es una tcnica mediante la cual las direcciones fuente o
destino de los paquetes IP son reescritas, sustituidas por otras
(de ah el "enmascaramiento").

Proxy abierto:
Este tipo de proxy es el que acepta peticiones desde cualquier
ordenador, est o no conectado a su red.

Cross-Domain Proxy:
Tpicamente usado por Tecnologas web asncronas (flash, ajax,
comet, etc.) que tienen restricciones para establecer una
comunicacin entre elementos localizados en distintos dominios
Desarrollando.

La topologa a realizar ser muy sencilla ser implementar un

servidor proxy en pfsense en la interface de nuestra LAN.

Ya luego de tener instalado el pfsense y configurado las

interfaces no dirigimos a instalar el paquete Squid que es uno de
los servidores proxy ms implementados a nivel mundial.

Para instalar el paquete Squid, entramos al sitio web

administrativo del pfsense y seleccionamos la pestaa System y
damos clic en la opcin Package

Luego vamos a buscar el paquete Squid y cuando ya lo

encontremos al frente de paquete aparece un cuadrito con un
Signo +, damos clic sobre el cuadrito para instalar el paquete.
Cuando hacemos el paso anterior nos aparecer una imagen
como la que se muestra a continuacin, donde aparece el
proceso de instalacin del paquete. Esperamos a que el proceso
termine.

Ya de terminado el proceso de instalacin nos vamos a la opcin

Services y nos debe aparecer el proxy instalado. El proxy en
pfsense se hace llamar Proxy Server.Damos doble clic sobre la
opcin Proxy Server para entrar a configurar y crear restricciones
en el servidor proxy.
Nos vamos para la pestaa General para ver la configuracin
bsica del proxy. Los cambios realizados fueron:
*Especificar la interface a la cual se aplicara el servidor proxy.
*Que todos los usuarios de la red LAN utilicen el proxy.
*Especificamos la ruta de los logs.
*Especificamos el puerto del servidor proxy.
*Un nombre.
*Un correo donde se enviaran los mensajes de error.
*El lenguaje.
Y el resto de opciones las dejamos por defecto.
Ahora lo que haremos ser crear nuestra lista de pginas a
bloquear.
Nos dirigimos a Services, proxy filter, general settings aqu
habilitaremos todas las opciones de nuestro proxy.
Ahora para crear nuestra lista de pginas a bloquear, nos
dirigimos ya dentro de la configuracin del proxy a la pestaa
Target categories, para generar las listas de restricciones.
Y de la misma manera que creamos la lista para las paginas a
bloquear crearemos otra lista con todas las anteriores
restricciones, pero con el nombre de descanso esto para que,
simplemente para que cuando creemos nuestra lista de acceso
por tiempo se ejecute esta lista.
Aqu vemos nuestras dos listas.
Pasamos ya a crear una lista de tiempo, en esta lista lo que
haremos ser determinar un tiempo en especifico, hay ser
cuando se ejecutara nuestra lista Descanso.
Ahora lo que nos faltara ser crear una lista o mejor dicho un
grupo el cual contenga nuestras dos listas (paginas denegadas y
Descanso) y especificar qu lista es la que se permite y cual la
que se deniega, adems de eso especificaremos que rango de ip
sern aplicadas estas reglas.
Para esto nos dirigimos a Groups ACL.

Y como vemos en la anterior imagen especificamos un nombre

para nuestro grupo, un rango de direcciones ip y especificamos la
lista de tiempo Descanso.
Aqu deberemos tener mucho cuidado y atencin, esta es la parte
donde me tomo ms tiempo corregirla ya que no tena muy en
claro como ejecutar bien la lista de tiempo, as que lo que
deberemos hacer es, en target categores especificamos que
nuestras listas todas se permitan ya que esto no nos sirve, ahora
el target categories for oof-time son las ms importante para
que se nos ejecuta nuestra lista de tiempo y dems,
especificamos que la lista de paginas denegadas se deniegue y
que la lista de Descanso y la lista por defecto se permitan.
La mejor muestra de esta configuracin la puede observa en la
anterior imagen.
Ahora tambin especificamos que se deniega y que no, en las
actuales ACL.Nos dirigimos a common ACL.
All tambin especificamos que listas se deniega y que cuales se
permiten.

Ya lo nico que faltara seria guardar para que el proxy tome los
cambios.
Probando.
Para hacer nuestra prueba, lo realizaremos en una maquina de
nuestra LAN que est dentro del rango que especificamos en
nuestro grupo de ACL.
A esta mquina deberemos especificarle la ip de la interface LAN
o Gateway y el puerto de escucha de nuestro proxy 3128.
 Denegacion por Palabras.

Denegacion por URL.

Ahora para mostrar bien la prueba por tiempo deberemos saber

bien cul es la hora de nuestro pfsense especificar un tiempo
para nuestra prueba.
Aplicamos todos los cambios para nuestro proxy.

Aqu vemos nuestra hora actual.

Aqu vemos que todava estn bloqueadas las paginas.

Aqu vemos que ya es la hora que especificamos en nuestra lista

de tiempo,asi que ya podremos acceder a todas las paginas.

Y cuando ya se acaba el tiempo de nuevo se bloquean las

pginas.
Ya con todo lo anterior se podra decir que tenemos una
configuracin bsica de proxy que fue denegar por ip,por
palabras,por dominios y por url adems creamos listas de acceso
por tiempo.
Ahora para complementar mucho ms nuestro proxy le daremos
acceso por usuario.
Nos dirigimos a Services, proxy server.
Aqu escogemos la pestaa local user, y creamos los usuarios los
cuales podrn acceder a internet.

Ahora deberemos especificar que el mtodo de autenticacin sea

por usuarios locales, nos dirigimos auth settings.
Y listo ya con esto tendremos autenticacin por usuarios locales
de pfsense.

Y para complementar mucho mas nuestro proxy lo pondremos en

modo tranparente esto para que el usuario no le toque especificar
la ip del Gateway si no que el proxy se ejecuta en toda la red
transparentemente.
Nos dirigimos a Services, proxy servers y seleccionamos la
pestaa general.
Y listo ya con esto tendremos nuestro proxy transparente.
NOTA:
Al habilitar el proxy transparente la opcin de autenticacin por
usuario ya no nos servira.

Glosario:
DMZ:
Una DMZ es una red con seguridad perimetral, lo que se hace es
ubicar una subred entre la LAN y la WAN.

LAN:
Una red de rea local.

WAN:
Las Redes de rea amplia.

Router:
Enrutador, en caminador. Dispositivo hardware o software para
interconexin de redes de computadoras que opera en la capa
tres (nivel de red) del modelo OSI. El Router interconecta
segmentos de red o redes enteras. Hace pasar paquetes de datos
entre redes tomando como base la informacin de la capa de red.

SDM:
SDM es la abreviatura de Cisco Router and Security Device
Manager. Una herramienta de mantenimiento basada en una
interfaz web desarrollada por Cisco. No es simplemente una
interfaz web. Es una herramienta java accesible a travs del
navegador.
Esta herramienta soporta un amplio nmero de routers Cisco IOS.
En la actualidad se entrega preinstalado en la mayora de los
routers nuevos de Cisco.

SSH:
SSH (Secure SHell, en espaol: intrprete de rdenes segura) es
el nombre de un protocolo y del programa que lo implementa, y
sirve para acceder a mquinas remotas a travs de una red.
Permite manejar por completo la computadora mediante un
intrprete de comandos, y tambin puede redirigir el trfico de X
para poder ejecutar programas grficos si tenemos un Servidor X
(en sistemas Unix y Windows) corriendo.

JAVA:
Java es un lenguaje de programacin.
Existe un gran nmero de aplicaciones y sitios Web que no
funcionan a menos que Java est instalado, y muchas ms que
se crean a diario. Java es rpido, seguro y fiable. De porttiles a
centros de datos, de consolas de juegos a superequipos
cientficos, de telfonos mviles a Internet, Java est en todas
partes.

NAT:
En las redes de computadoras, NAT es el proceso de
modificacin de la direccin IP de informacin en los
encabezados de paquetes IP, mientras que en trnsito a travs de
un trfico de dispositivos de enrutamiento
El tipo ms simple de NAT proporciona una traduccin a una de
las direcciones IP.

DNS:
es un sistema de nomenclatura jerrquica para computadoras,
servicios o cualquier recurso conectado a Internet o a una red
privada. Este sistema asocia informacin variada con nombres de
dominios asignado a cada uno de los participantes. Su funcin
ms importante, es traducir (resolver) nombres inteligibles para
los humanos en identificadores binarios asociados con los
equipos conectados a la red, esto con el propsito de poder
localizar y direccionar estos equipos mundialmente.
TCP:
Es uno de los principales protocolos de la capa de transporte del
modelo TCP/IP. En el nivel de aplicacin, posibilita la
administracin de datos que vienen del nivel ms bajo del
modelo, o van hacia l, (es decir, el protocolo IP). Cuando se
proporcionan los datos al protocolo IP, los agrupa en datagramas
IP, fijando el campo del protocolo en 6 (para que sepa con
anticipacin que el protocolo es TCP). TCP es un protocolo
orientado a conexin, es decir, que permite que dos mquinas
que estn comunicadas controlen el estado de la transmisin.

UDP:
UDP son las siglas de Protocolo de Datagrama de Usuario (en
ingls User Datagram Protocol) un protocolo sin conexin que,
como TCP, funciona en redes IP.
UDP/IP proporciona muy pocos servicios de recuperacin de
errores, ofreciendo en su lugar una manera directa de enviar y
recibir datagramas a travs una red IP. Se utiliza sobre todo
cuando la velocidad es un factor importante en la transmisin de
la informacin, por ejemplo, RealAudio utiliza el UDP.
El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son
las siglas de Protocolo de Transferencia de Archivos Triviales (en
ingls Trivial File Transfer Protocol), y puesto que es trivial, perder
algo de informacin en la transferencia no es crucial

Stateless:
Crear reglas de ida y de respuesta.

Statefull:
Crear reglas de ida y las reglas de respuestas son automaticas no
hay que crearlas.

Mascara wildcard:
Una mscara wildcard es sencillamente una agrupacin de 32 bits
dividida en cuatro bloques de ocho bits cada uno (octetos). La
apariencia de una mscara wildcard le recordar problablemente
a una mscara de subred. Salvo esa apariencia, no existe otra
relacin entre ambas.
Por ejemplo, una mscara wildcard puede tener este
aspecto:192.168.1.0 mascara normal 255.255.255.0 mascara
wildcard 0.0.0.255.
mascara normal 255.255.0.0 mascara wildcard 0.0.255.255
mascara normal 255.0.0.0 mascara wildcard 0.255.255.255